Упрощение требований к конфигурации сети с помощью шлюза Azure Arc (общедоступная предварительная версия)
Если вы используете корпоративные прокси-серверы для управления исходящим трафиком, шлюз Azure Arc позволяет подключить инфраструктуру к Azure Arc, используя только семь конечных точек (7). С помощью шлюза Azure Arc вы можете:
- Подключитесь к Azure Arc, открыв доступ к общедоступной сети только к семи полным доменным именам (FQDN).
- Просматривайте и проверяйте весь трафик, который агент Azure Connected Machine отправляет в Azure через шлюз Arc.
В этой статье объясняется, как настроить и использовать шлюз Arc (общедоступная предварительная версия).
Внимание
Функция шлюза Arc для серверов с поддержкой Azure Arc в настоящее время находится в общедоступной предварительной версии во всех регионах, где присутствуют серверы с поддержкой Azure Arc. Дополнительные условия использования для предварительных версий Microsoft Azure для юридических условий, применимых к функциям Azure, которые находятся в бета-версии, общедоступной предварительной версии или в противном случае еще не выпущены в общую доступность.
Как работает шлюз Azure Arc
Шлюз Azure Arc состоит из двух основных компонентов:
Ресурс шлюза Arc: ресурс Azure, который служит общим интерфейсом для трафика Azure. Этот ресурс шлюза обслуживается в определенном домене. После создания ресурса шлюза Arc домен возвращается в ответе на успешное выполнение.
Прокси-сервер Arc: новый компонент, добавленный в агентрию Arc. Этот компонент выполняется как служба с именем "Прокси Azure Arc" и выступает в качестве прокси-сервера пересылки, используемого агентами и расширениями Azure Arc. Конфигурация не требуется для прокси-сервера Arc. Этот прокси-сервер является частью ядра Arc и выполняется в контексте ресурса с поддержкой Arc.
Когда шлюз находится на месте, трафик передается через следующие прыжки: агенты Arc → Прокси Arc → корпоративный прокси-сервер → шлюз Arc → Целевая служба
Текущие ограничения
Во время общедоступной предварительной версии применяются следующие ограничения. Учитывайте эти факторы при планировании конфигурации.
- Конечные прокси-серверы TLS не поддерживаются (общедоступная предварительная версия)
- VPN expressRoute/Site-to-Site или частные конечные точки, используемые с шлюзом Arc (общедоступная предварительная версия), не поддерживаются.
- Существует ограничение в пять (5) ресурсов шлюза Arc (общедоступная предварительная версия) для каждой подписки Azure.
- Шлюз Arc можно использовать только для подключения в общедоступном облаке Azure.
Необходимые разрешения
Чтобы создать ресурсы шлюза Arc и управлять их связью с серверами с поддержкой Arc, требуются следующие разрешения:
- Microsoft.HybridCompute/settings/write
- Microsoft.hybridcompute/gateways/read
- Microsoft.hybridcompute/gateways/write
Использование шлюза Arc (общедоступная предварительная версия)
Существует четыре шага для использования шлюза Arc:
- Создайте ресурс шлюза Arc.
- Убедитесь, что необходимые URL-адреса разрешены в вашей среде.
- Подключение ресурсов Azure Arc с ресурсом шлюза Arc или настройка существующих ресурсов Azure Arc для использования шлюза Arc.
- Убедитесь, что программа установки выполнена успешно.
Шаг 1. Создание ресурса шлюза Arc
Вы можете создать ресурс шлюза Arc с помощью портал Azure, Azure CLI или Azure PowerShell.
Войдите в портал Azure в браузере.
Перейдите к Azure Arc | Страница шлюза Azure Arc и нажмите кнопку "Создать".
Выберите подписку и группу ресурсов, в которой требуется управлять ресурсом шлюза Arc в Azure. Ресурс шлюза Arc можно использовать любым ресурсом с поддержкой Arc в одном клиенте Azure.
В поле "Имя" введите имя, которое для ресурса шлюза Arc.
В поле "Расположение" введите регион, в котором должен находиться ресурс шлюза Arc. Ресурс шлюза Arc можно использовать любым ресурсом с поддержкой Arc в одном клиенте Azure.
Выберите Далее.
На странице "Теги" укажите один или несколько пользовательских тегов для поддержки ваших стандартов.
Выберите Просмотреть и создать.
Просмотрите сведения о входных данных и нажмите кнопку "Создать".
Процесс создания шлюза занимает 9–10 минут.
Шаг 2. Убедитесь, что необходимые URL-адреса разрешены в вашей среде
При создании ресурса ответ успешно включает URL-адрес шлюза Arc. Убедитесь, что URL-адрес шлюза Arc и все URL-адреса в следующей таблице разрешены в среде, в которой находятся ресурсы Arc. Необходимые URL-адреса:
URL | Характер использования |
---|---|
[Префикс URL-адреса].gw.arc.azure.com | URL-адрес шлюза (этот URL-адрес можно получить, выполнив после az arcgateway list создания ресурса шлюза) |
management.azure.com | Конечная точка Azure Resource Manager, необходимая для канала управления Azure Resource Manager |
login.microsoftonline.com | Конечная точка Идентификатора Microsoft Entra для получения маркеров доступа к удостоверениям |
gbl.his.arc.azure.com | Конечная точка облачной службы для взаимодействия с агентами Azure Arc |
<region.his.arc.azure.com> | Используется для основного канала управления Arc |
packages.microsoft.com | Требуется для получения полезных данных агента Arc на основе Linux, необходимых только для подключения серверов Linux к Arc |
Шаг 3a. Подключение ресурсов Azure Arc с ресурсом шлюза Arc.
Создайте скрипт установки.
Следуйте инструкциям из краткого руководства. Подключите гибридные компьютеры с серверами с поддержкой Azure Arc, чтобы создать скрипт, который автоматизирует загрузку и установку агента подключенного компьютера Azure и устанавливает подключение к Azure Arc.
Внимание
При создании скрипта подключения выберите прокси-сервер в разделе "Подключение", чтобы открыть раскрывающийся список для ресурса шлюза.
Запустите скрипт установки, чтобы подключить серверы к Azure Arc.
В скрипте идентификатор ARM ресурса шлюза Arc отображается как
--gateway-id
.
Шаг 3b. Настройка существующих ресурсов Azure Arc для использования шлюза Arc
Существующие ресурсы Azure Arc можно настроить для использования шлюза Arc с помощью портал Azure, Azure CLI или Azure PowerShell.
На портал Azure перейдите на страницу шлюза Azure Arc — Azure Arc.
Выберите ресурс шлюза Arc, чтобы связаться с сервером с поддержкой Arc.
Перейдите на страницу "Связанные ресурсы" для ресурса шлюза.
Выберите Добавить.
Выберите ресурс с поддержкой Arc, чтобы связаться с ресурсом шлюза Arc.
Выберите Применить.
Обновите сервер с поддержкой Arc, чтобы использовать шлюз Arc, выполнив команду
azcmagent config set connection.type gateway
.
Шаг 4. Проверка успешности установки
На подключенном сервере выполните следующую команду: azcmagent show
результат должен указывать следующие значения:
- Состояние агента должно отображаться как подключено.
- Использование прокси-сервера HTTPS должно отображаться как http://localhost:40343.
- Прокси-сервер вышестоящего сервера должен отображаться в качестве корпоративного прокси-сервера (если он задан). URL-адрес шлюза должен отражать URL-адрес ресурса шлюза.
Кроме того, чтобы проверить успешную настройку, можно выполнить следующую команду: azcmagent check
результат должен указывать, что connection.type
для шлюза задано значение шлюза, а столбец Reachable должен указывать значение true для всех URL-адресов.
Связывание компьютера с новым шлюзом Arc
Чтобы связать компьютер с новым шлюзом Arc, выполните следующие действия.
На портал Azure перейдите на страницу шлюза Azure Arc — Azure Arc.
Выберите новый ресурс шлюза Arc для связи с компьютером.
Перейдите на страницу "Связанные ресурсы" для ресурса шлюза.
Выберите Добавить.
Выберите компьютер с поддержкой Arc, чтобы связаться с новым ресурсом шлюза Arc.
Выберите Применить.
Обновите сервер с поддержкой Arc, чтобы использовать шлюз Arc, выполнив команду
azcmagent config set connection.type gateway
.
Удаление связи шлюза Arc (для использования прямого маршрута)
Задайте для типа подключения сервера с поддержкой Arc значение direct вместо шлюза, выполнив следующую команду:
azcmagent config set connection.type direct
Примечание.
Если вы выполните этот шаг, все требования к сети Azure Arc должны быть выполнены в вашей среде, чтобы продолжить использование Azure Arc.
Отсоедините ресурс шлюза Arc от компьютера:
На портал Azure перейдите на страницу шлюза Azure Arc — Azure Arc.
Выберите ресурс шлюза Arc.
Перейдите на страницу "Связанные ресурсы " для ресурса шлюза и выберите сервер.
Выберите Удалить.
Удаление ресурса шлюза Arc
Примечание.
Эта операция может занять от 4 до 5 минут.
На портал Azure перейдите на страницу шлюза Azure Arc — Azure Arc.
Выберите ресурс шлюза Arc.
Выберите команду Удалить.
Устранение неполадок
Вы можете проверить трафик шлюза Arc, просмотрев журналы прокси-сервера Azure Arc.
Чтобы просмотреть журналы прокси-сервера Arc в Windows, выполните действия.
- Запустите
azcmagent logs
в PowerShell. - В результирующем .zip файле журналы находятся в папке
C:\ProgramData\Microsoft\ArcProxy
.
Чтобы просмотреть журналы прокси-сервера Arc в Linux, выполните приведенные действия.
- Запустите
sudo azcmagent logs
и доставьте общий доступ к полученному файлу. - В результирующем файле журнала журналы находятся в папке
/usr/local/arcproxy/logs/
.
Дополнительные сценарии
Во время общедоступной предварительной версии шлюз Arc охватывает конечные точки, необходимые для подключения сервера, а также часть конечных точек, необходимых для дополнительных сценариев с поддержкой Arc. В зависимости от принятых сценариев в прокси-сервере должны быть разрешены дополнительные конечные точки.
Сценарии, которые не требуют дополнительных конечных точек
- Windows Admin Center;
- SSH
- Расширенные обновления безопасности
- Microsoft Defender
- Расширение Azure для SQL Server
Сценарии, требующие дополнительных конечных точек
Конечные точки, перечисленные в следующих сценариях, должны быть разрешены в корпоративном прокси-сервере при использовании шлюза Arc:
Службы данных с поддержкой Azure Arc
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Агент Azure Monitor
<log-analytics-workspace-id.ods.opinsights.azure.com>
<data-collection-endpoint>.<virtual-machine-region-name.ingest.monitor.azure.com>
Синхронизация сертификата Azure Key Vault
- <vault-name.vault.azure.net>
Расширение гибридной рабочей роли Runbook службы автоматизации Azure
- *.azure-automation.net
Расширение центра обновления ОС Windows / Диспетчер обновлений Azure
Известные проблемы
Ниже приведено описание известных в настоящее время проблем шлюза Arc.
Обновление, необходимое после подключения агента подключенного компьютера Azure
При использовании скрипта подключения (или azcmagent connect
команды) для подключения сервера с указанным идентификатором ресурса шлюза ресурс будет успешно использовать шлюз Arc. Однако из-за известной ошибки (с исправлением в настоящее время), сервер с поддержкой Arc не будет отображаться как связанный ресурс в портал Azure, если только параметры ресурса не обновляются. Чтобы выполнить это обновление, используйте следующую процедуру:
В портал Azure перейдите к Azure Arc | Страница шлюза Arc.
Выберите ресурс шлюза Arc, чтобы связаться с сервером с поддержкой Arc.
Перейдите на страницу "Связанные ресурсы " для ресурса шлюза.
Выберите Добавить.
Выберите ресурс с поддержкой Arc, чтобы связаться с ресурсом шлюза Arc, и нажмите кнопку "Применить".
Обновление прокси-сервера Arc необходимо после отключения ресурса шлюза с компьютера
При отключении ресурса шлюза Arc от компьютера необходимо обновить прокси-сервер Arc, чтобы очистить конфигурацию шлюза Arc. Для этого выполните следующую процедуру:
Остановите прокси-сервер arc.
- Windows:
Stop-Service arcproxy
- Linux:
sudo systemctl stop arcproxyd
- Windows:
Удалите файл
cloudconfig.json
.- Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
- Linux: "/var/opt/azcmagent/cloudconfig.json"
Запустите прокси-сервер arc.
- Windows:
Start-Service arcproxy
- Linux:
sudo systemctl start arcproxyd
- Windows:
Перезапустите его (необязательно, но рекомендуется).
- Windows:
Restart-Service himds
- Linux:
sudo systemctl restart himdsd
- Windows:
Обновление, необходимое для повторной поддержки компьютеров без шлюза
Если компьютер с поддержкой Arc с шлюзом Arc удаляется из Azure Arc и повторно включен без шлюза Arc, обновление необходимо для обновления его состояния в портал Azure.
Внимание
Эта проблема возникает только в том случае, если ресурс включен повторно с тем же идентификатором ARM, что и его начальная активация.
В этом сценарии компьютер неправильно отображается в портал Azure в качестве ресурса, связанного с шлюзом Arc. Чтобы предотвратить это, если вы планируете включить компьютер без шлюза Arc, который ранее был включен Arc с шлюзом Arc, необходимо обновить связь шлюза Arc после подключения. Для этого используйте следующую процедуру:
В портал Azure перейдите к Azure Arc | Страница шлюза Arc.
Выберите ресурс шлюза Arc.
Перейдите на страницу "Связанные ресурсы " для ресурса шлюза.
Выберите сервер и нажмите кнопку "Удалить".
Сопоставление шлюза вручную требуется после удаления
Если шлюз Arc удаляется, пока компьютер все еще подключен к нему, портал Azure необходимо использовать для связывания компьютера с любыми другими ресурсами шлюза Arc.
Чтобы избежать этой проблемы, отключите все ресурсы с поддержкой Arc от шлюза Arc перед удалением ресурса шлюза. При возникновении этой ошибки используйте портал Azure для связывания компьютера с новым ресурсом шлюза Arc.